身份联盟中个人信息保护的研究和实现.pdfVIP

V01．43 第43卷专辑 太原理工大学学报 Spec．Issue UNIVERSITYOFTECHNOI。OGY Oct．2012 2012年10月 JOURNALOFTAIYUAN 文章编号：1007—9432(2012)S1—0104—04 身份联盟中个人信息保护的研究与实现 吕 洁1’2，周 晖1’2，陈 萍1’2，张 扬1’2，张 蓓1’2 (1．北京大学计算中心，北京100871；2．北京大学网络与软件安全保障教育部重点实验室，北京100871) 摘 要：针对身份联盟中的个人信息保护问题，提出以联盟中身份提供者的属性服务为基础， 在用户自定义规则的基础上实现用户属性过滤机制，并在CARSI联盟的实验环境中进行了部署和 验证。用户属性过滤机制由个人属性过滤模决实现，该模块主要实现了个人信息使用协议展示、个 人属性过滤规则定义和执行以及个人属性显示的功能。在身份联盟中加强个人信息保护，对于身 份联盟的发展有着重要的意义。 关键词：个人信息保护；身份联盟；用户属性过滤 中图分类号：TP393 文献标识码：A 近年来，身份联盟迅速发展，在电子图书资源共 享、软件下载等领域的应用日益广泛。身份联盟中， 用户使用自己所属机构的账号登录，其所属机构把 用户的一些身份信息提供给其他机构，从而使得用 户可以访问其他机构所管理的电子资源。近几年， 各类个人信息泄露事件层出不穷，人们对个人信息 保护日益重视。因此，研究身份联盟中的个人信息 保护问题具有非常重要的意义。 图l身份提供者示意图 1 身份联盟中个人信息的使用 2 身份联盟中的个人信息保护要求 身份联盟包括两类成员，一类是用户所属机构 内建立的身份提供者(IdentityProvider)，另一类是个人信息保护一直为各国高度重视。《中华人 民共和国刑法修正案》第七条规定，严禁国家机关或 电子资源所属机构内建立的服务提供者(Service 者金融、电信、交通、教育、医疗等单位的工作人员， Provider)。身份联盟规定了成员之间的信任关系， 并对用户信息传递所遵从的标准进行规范。目前， 违反国家规定，将本单位在履行职责或者提供服务 过程中获得的公民个人信息，出售或者非法提供给 国际上身份联盟最为通行的标准是SAML[1](Seeu— Assertion 他人。目前，我国第一个专门针对个人信息保护的 rity MarkupLanguage)标准，常见的软 件实现包括Shibboleth[2]，OpenSSOc3]等。 国家标准——《信息安全技术、公共及商用服务信息 在身份联盟中，用户信息以属性名，属性值 系统个人信息保护指南》(以下简称《保护指南》)也 的形式进行传递。如图1所示，身份提供者由两部 已由工业和信息化部制订完成。 分组成：一是认证服务，二是属性服务。认证服务对 根据《保护指南》的要求，个人信息管理者应采 用户进行认证。当用户通过认证后，其用户名被传 取必要的措施和手段保护个人信息主体的权利。其 中，与身份联盟最为相关的用户权利有以下几种： 递给属性服务。属性服务的属性提取模块从用户信 息库中取得用户的各种属性信息，属性过滤模块根 1)知情权，即个人信息管理者对个人信息主体 据一定的过滤规则对属性进行过滤，属性发布模块 应尽到告知、说明和警示的义务。这就要求身份提 把通过过滤的属性按照联盟规定的格式对外发布。